服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 处理蛮力ftp攻击
Intereting Posts
3ware raid控制器将raidarrays拆分为两个peices。 做什么? 在Ubuntu和Debian中重新启动networking的首选方法是什么? 程序员如何pipe理多个(不同地理位置的)linux机器? 本地IP地址与Google的外部地址相同 apt-get的软件包是否可以删除–auto-remove sendmail安全删除? 我怎样才能在分布式文件系统的Macintosh桌面上绑定更多的空间? 服务器在废弃升级后不可用 ps_mem.py vs顶级内存使用情况? 如果我只想回溯,什么是好的RLIMIT_CORE设置? 如何总是以正确的顺序在系统之间传输文件? Dns需要很长的时间来解决使用dnsResolve和isInNet()函数 Windows Server 2008经常在出站TCP端口445上发送外部IP 地理如何影响networking延迟? 通过ftp添加的文件和目录的文件权限 Sharepoint 2007:Active Directory和Sharepoint组

处理蛮力ftp攻击

虽然检查我的Centos服务器上的/ var / log / secure已经发现很多尝试失败login使用未知的用户名,来自日本和中国的IP列表

如何从这些聪明的家伙或工具隐藏我的服务器;-)

这是日志的片段 

Aug 27 12:07:06 EEHB-VM1 sshd[1191]: subsystem request for sftp Aug 27 12:08:09 EEHB-VM1 sshd[1191]: pam_unix(sshd:session): session closed for user root Aug 27 12:24:03 EEHB-VM1 sshd[1375]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root Aug 27 12:24:04 EEHB-VM1 sshd[1377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root Aug 27 12:24:06 EEHB-VM1 sshd[1377]: Failed password for root from 106.186.113.82 port 7176 ssh2 Aug 27 12:24:07 EEHB-VM1 sshd[1378]: Connection closed by 106.186.113.82 Aug 27 12:24:07 EEHB-VM1 sshd[1375]: Failed password for root from 106.186.113.82 port 7176 ssh2 Aug 27 12:24:07 EEHB-VM1 sshd[1376]: Connection closed by 106.186.113.82 Aug 27 12:49:31 EEHB-VM1 sshd[1883]: Invalid user fluffy from 106.186.113.82 Aug 27 12:49:31 EEHB-VM1 sshd[1884]: input_userauth_request: invalid user fluffy Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): check pass; user unknown Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy Aug 27 12:49:31 EEHB-VM1 sshd[1885]: Invalid user fluffy from 106.186.113.82 Aug 27 12:49:31 EEHB-VM1 sshd[1886]: input_userauth_request: invalid user fluffy Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): check pass; user unknown Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy Aug 27 12:49:33 EEHB-VM1 sshd[1883]: Failed password for invalid user fluffy from 106.186.113.82 port 53242 ssh2 Aug 27 12:49:33 EEHB-VM1 sshd[1884]: Connection closed by 106.186.113.82 Aug 27 12:49:34 EEHB-VM1 sshd[1885]: Failed password for invalid user fluffy from 106.186.113.82 port 45149 ssh2 Aug 27 12:49:34 EEHB-VM1 sshd[1886]: Connection closed by 106.186.113.82

这种行为是非常频繁的,并在短时间内重复。

我怀疑这是一些欺骗性的访问尝试,并想知道我应该如何处理它们。

有趣的是:即使网站甚至没有生活,也不知道ip地址,他们是如何知道ip地址的。

编辑1:可能是我可以select这些IP地址,并限制他们从防火墙。 但有没有办法让他们尝试这种恶作剧的尝试,而不是每天访问日志,并在防火墙中添加其他规则?

PS:欣赏是否有人可以给我一个示例iptable规则片段现在处理一堆这些IP 😉

为了清楚起见,这些是SSH攻击,而不是FTP。 任何具有公共IP的服务器都会遇到这些问题 – 在任何时候都会扫描整个IPv4地址范围(暴力破解SSH / FTP,寻找未安装的WordPress安装等)。 只要你使用了很好的安全措施(基于密码的authentication,强密码),这只是噪声,但是人们经常使用诸如fail2ban之类的东西在几次authentication失败之后自动阻止尝试。